ΑρχικήsecurityΕυπάθεια στο site του RunKeeper μπορεί να επιτρέψει την εκτέλεση XSS worm...

Ευπάθεια στο site του RunKeeper μπορεί να επιτρέψει την εκτέλεση XSS worm

Ο ερευνητής ασφάλειας David Sopas έχει ανακαλύψει μια ευπάθεια Cross Site Request Forgery(CSRF) στην ιστοσελίδα RunKeeper, το επίσημο site της γνωστής εφαρμογής GPS fitness-tracking.

Το αίτημα δημοσίευση (POST) στη “Ρυθμίσεις λογαριασμού” απέτυχε στη χρήση του token ασφάλειας για την επικύρωση των αποτελεσμάτων στην ευπάθεια CSRF. Αυτό θα μπορούσε να επιτρέψει στους διαδικτυακούς εγκληματίες να τροποποιήσουν τις πληροφορίες ενός εξουσιοδοτημένου χρήστη, εξαπατώντας τον ώστε να κάνει κλικ σε έναν επεξεργασμένο κακόβουλο σύνδεσμο.

Η επίμονη ευπάθεια XSS στις “Ρυθμίσεις λογαριασμού” και στη σελίδα του προφίλ αποτελεί εν δυνάμει κίνδυνο για την ασφάλεια. Οι διαδικτυακοί εγκληματίες θα μπορούσαν να ξεκινήσουν μια κακόβουλη διαδικτυακή επίθεση και να μολύνουν εκατομμύρια χρήστες.

runkeeper-persistent-xss-vulnerability

Το RunKeeper καθόρισε άμεσα την ευπάθεια μετά την προειδοποίηση του ερευνητή.

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS